Een dark pattern, een "donker patroon"[1] of "duister patroon"[2] is een gebruikersinterface die zorgvuldig ontworpen is om gebruikers te misleiden om dingen te doen, zoals het kopen van een te dure verzekering bij hun aankoop of het aanmelden voor terugkerende rekeningen. Ontwerper van gebruikerservaringen Harry Brignull bedacht het neologisme op 28 juli 2010 met de registratie van darkpatterns.org, een "patroonbibliotheek met het specifieke doel misleidende gebruikersinterfaces te benoemen en te schande te maken".

In 2021 creëerden de Electronic Frontier Foundation en Consumer Reports een tiplijn om informatie over donkere patronen van het publiek te verzamelen.[3]

Patronen

bewerken

Privacy Zuckering

bewerken

"Privacy Zuckering" – genoemd naar Mark Zuckerberg, medeoprichter van Facebook en CEO van Meta Platforms – is een praktijk waarbij de gebruikers ertoe worden verleid meer informatie te delen dan ze van plan waren. Gebruikers kunnen deze informatie onbewust opgeven of door praktijken die de mogelijkheid om zich af te melden voor het delen van hun privégegevens verdoezelen of vertragen.

Californië heeft regelgeving goedgekeurd die deze praktijk door bedrijven beperkt in de California Consumer Privacy Act.

Bait-and-switch

bewerken

Bait-and-switch-patronen maken reclame voor een gratis (of sterk in prijs verlaagd) product of dienst die geheel niet beschikbaar is of in kleine hoeveelheden op voorraad is. Nadat de onbeschikbaarheid van het product is aangekondigd, worden vergelijkbare producten met hogere prijzen of mindere kwaliteit op de pagina weergegeven.

Confirmshaming

bewerken

Confirmshaming maakt gebruik van schaamte om gebruikers tot actie aan te zetten, bijvoorbeeld wanneer websites een optie aanbieden om een e-mailnieuwsbrief te weigeren op een manier die bezoekers doet schamen om deze te accepteren.

Misleiding

bewerken

Er is sprake van misleiding als in software-installatieprogramma's de gebruiker een knop krijgt op de manier van een typische vervolgknop met bijvoorbeeld de tekst Ik accepteer deze voorwaarden, waarmee de gebruiker wordt gevraagd de voorwaarden te accepteren van een programma dat géén verband houdt met het programma dat men probeert te installeren. Omdat de gebruiker de voorwaarden doorgaans uit gewoonte accepteert, kan het niet-gerelateerde programma vervolgens worden geïnstalleerd. De makers van het installatieprogramma doen dit omdat de makers van het niet-gerelateerde programma betalen voor elke installatie die zij voortbrengen. De alternatieve route in het installatieprogramma, waardoor de gebruiker de installatie van het niet-gerelateerde programma kan overslaan, wordt veel minder prominent weergegeven of lijkt contra-intuïtief (zoals het weigeren van de servicevoorwaarden).

Sommige websites die om informatie vragen die niet vereist is, maken ook gebruik van misleidende informatie. Je vult bijvoorbeeld op de ene pagina een gebruikersnaam en wachtwoord in, en nadat je op de knop "volgende" hebt geklikt, vraagt de pagina de gebruiker om zijn e-mailadres, met als enige optie een andere knop "volgende". Dit verbergt de optie om op "volgende" te drukken zonder de informatie in te voeren. In sommige gevallen toont de pagina de methode om de stap over te slaan als een kleine, grijze link in plaats van een knop, zodat deze niet opvalt voor de gebruiker. Andere voorbeelden zijn sites die een manier bieden om vrienden uit te nodigen door hun e-mailadres in te voeren, een profielfoto te uploaden of interesses te identificeren.

Verwarrende bewoordingen kunnen ook worden gebruikt om gebruikers te misleiden om formeel een optie te accepteren waarvan zij denken dat deze de tegenovergestelde betekenis heeft. Bijvoorbeeld een knop voor toestemming voor de verwerking van persoonlijke gegevens met een dubbele negatie, zoals verkoop geen persoonlijke gegevens niet.

Kakkerlakkenmotel

bewerken

Een kakkerlakkenmotel biedt een gemakkelijke of ongecompliceerde route om binnen te komen, maar een moeilijke route om eruit te komen. Voorbeelden zijn onder meer bedrijven die van abonnees eisen dat ze hun opt-out- of annuleringsverzoek afdrukken en per post versturen.

Tijdens de Amerikaanse presidentsverkiezingen van 2020 maakte de WinRed-campagne van Donald Trump bijvoorbeeld gebruik van een soortgelijk donker patroon, waardoor gebruikers ertoe werden aangezet een terugkerende maandelijkse donatie te doen.

Een andere veel voorkomende versie van dit patroon is elke dienst waarmee men zich kan aanmelden en de dienst online kan starten, maar waarvoor een telefoontje nodig is (vaak met lange wachttijden) om de dienst te beëindigen.

In 2021 heeft de Federal Trade Commission (FTC) in de Verenigde Staten aangekondigd dat ze de handhaving zullen opvoeren tegen duistere patronen zoals kakkerlakkenmotels die consumenten ertoe verleiden een abonnement af te sluiten of het moeilijk maken om op te zeggen. De FTC heeft eisen gesteld met betrekking tot de transparantie en duidelijkheid van informatie, uitdrukkelijke geïnformeerde toestemming en eenvoudige en gemakkelijke annulering.

Lijst van patronen

bewerken

Op de website www.deceptive.design zijn er een aantal donkere patronen gedefinieerd.[4]

  • Vergelijking voorkomen - Doordat prijzen of kenmerken op een complexe manier georganiseerd of gecombineerd zijn, of doordat belangrijke informatie moeilijk vindbaar is, kan de gebruiker deze moeilijk vergelijken.[5]
  • Confirmshaming - Door emotionele manipulatie wordt de gebruiker aangezet om iets te doen wat die anders niet zou doen.[6]
  • Vermomde advertenties - Het vermommen van een advertentie, zodat die eruit ziet als een onderdeel van de interface of de inhoud, waardoor de gebruiker onbedoeld een verkapte advertentie aanklikt.[7]
  • Valse schaarste - Door een valse indicatie van een beperkt aanbod of hoge populariteit het onder druk zetten van een gebruiker om tot actie over te gaan.[8]
  • Vals sociaal bewijs - Door het tonen van valse recensies, getuigenissen of activiteitsberichten wordt de gebruiker misleid.[9]
  • Valse urgentie - Door een valse indicatie van een tijdslimiet het onder druk zetten van een gebruiker om tot actie over te gaan.[10]
  • Gedwongen actie - Om iets te kunnen doen moet een gebruiker eerst iets anders onwenselijks doen.[11]
  • Moeilijk kunnen annuleren - Het eenvoudig maken om men ergens voor aan te melden, maar het moeilijk als de gebruiker het wilt opzeggen.[12]
  • Verborgen kosten - Door een lage geadverteerde prijs verleid worden, onderwijl geen vermelding van extra kosten, maar vervolgens aan het einde bij het afrekenen geconfronteerd worden met onverwachte onverwachte kosten en vergoedingen.[13]
  • Verborgen abonnement - Het zonder duidelijke openbaarmaking of zonder uitdrukkelijke toestemming onbewust ingeschreven worden voor een terugkerend abonnement of betalingsplan.[14]
  • Nagging - Als de gebruiker iets probeert te doen, wordt diegene voortdurend onderbroken door berichten die oproepen iets anders te doen dat mogelijkerwijs niet in het belang van de gebruiker is.[15]
  • Obstructie - Door het opwerpen van barrières of hindernissen wordt het de gebruiker moeilijk gemaakt een bepaalde actie te doen of informatie te vinden.[16]
  • Voorselectie - Doordat de defaultwaarde al is ingevuld wordt geprobeerd de besluitvorming van de gebruiker te beïnvloeden.[17]
  • Sneaking - Op basis van valse voorwendselen, waaronder het vertraagd weergeven of verborgen houden van relevante informatie, de gebruiker aanzetten tot een transactie.[18]
  • Misleidend taalgebruik - Door verwarrend of misleidend taalgebruik wordt de gebruiker misleid om tot actie over te gaan.[19]
  • Visuele interferentie - Door het verbergen, vervagen of vermommen van door de gebruiker verwachte informatie, het de gebruiker moeilijk maken.[20]

Onderzoek

bewerken

In 2016 en 2017 heeft onderzoek anti-privacypraktijken op sociale media gedocumenteerd waarbij gebruik werd gemaakt van duistere patronen. In 2018 publiceerde de Noorse Consumentenraad (Forbrukerrådet) "Misleid door ontwerp", een rapport over misleidende gebruikersinterface-ontwerpen van Facebook, Google en Microsoft. In een onderzoek uit 2019 werden de praktijken op 11.000 winkelwebsites onderzocht. Het identificeerde in totaal 1818 donkere patronen en groepeerde deze in 15 categorieën.

Uit onderzoek uit april 2022 is gebleken dat donkere patronen nog steeds vaak worden gebruikt in online winkels, wat de noodzaak benadrukt van verder onderzoek naar dergelijke praktijken door het publiek, onderzoekers en toezichthouders.

Volgens de Algemene verordening gegevensbescherming (AVG) van de Europese Unie moeten alle bedrijven ondubbelzinnige, vrijelijk gegeven toestemming van klanten verkrijgen voordat zij hun persoonlijk identificeerbare informatie verzamelen en gebruiken ("verwerken"). Uit een onderzoek uit 2020 bleek dat grote technologiebedrijven vaak misleidende gebruikersinterfaces gebruikten om hun gebruikers ervan te weerhouden zich af te melden. In 2022 bleek uit een rapport van de Europese Commissie dat 97% van de populairste websites en apps die door EU-consumenten worden gebruikt, ten minste één donker patroon vertoonde.

Uit onderzoek naar de documentatie van advertentienetwerken blijkt dat de informatie die op deze platforms aan ontwikkelaars van mobiele apps wordt gepresenteerd, gericht is op het naleven van wettelijke voorschriften, en dat de verantwoordelijkheid voor dergelijke beslissingen bij de ontwikkelaar wordt gelegd. Bovendien hebben voorbeeldcode en instellingen vaak privacy-onvriendelijke standaardwaarden, doorspekt met duistere patronen om de beslissingen van ontwikkelaars in de richting van privacy-onvriendelijke opties te duwen, zoals het delen van gevoelige gegevens om de inkomsten te vergroten.

Wettigheid

bewerken

Europese Unie

bewerken

In de Europese Unie vereist de AVG dat de geïnformeerde toestemming van een gebruiker voor de verwerking van zijn persoonlijke informatie ondubbelzinnig, vrijelijk gegeven en specifiek is voor elk gebruik van persoonlijke informatie. Dit is bedoeld om pogingen te voorkomen om gebruikers onbewust alle gegevensverwerking standaard te laten accepteren (wat in strijd is met de regelgeving).

Volgens het Europees Comité voor gegevensbescherming dient het beginsel van eerlijke verwerking, vastgelegd in artikel 5 (1) (a) van de AVG als uitgangspunt om te beoordelen of een ontwerppatroon daadwerkelijk een ‘donker patroon’ is.

Eind 2023 werd de definitieve versie van de Datawet aangenomen. Het is een van de drie EU-wetgevingen die uitdrukkelijk omgaan met duistere patronen. De andere is de Verordening digitale diensten.[1] De derde EU-wetgeving over donkere patronen die van kracht is, is de richtlijn inzake financiële dienstverleningscontracten die op afstand worden gesloten.[21]

In mei 2024 werd door Bureau Européen des Unions de Consommateurs, samen met de Consumentenbond, Test-Aankoop en organisaties uit vijftien andere Europese landen een klacht ingediend over Temu bij de Europese Commissie, omdat de webwinkel te weinig informatie verstrekt en donkere patronen gebruikt om consumenten te beïnvloeden.[22][23]

Verenigd Koninkrijk

bewerken

In april 2019 heeft de Britse Information Commissioner's Office (ICO) een voorgestelde "leeftijdsgeschikte ontwerpcode" uitgevaardigd voor de werking van sociale netwerkdiensten wanneer deze door minderjarigen worden gebruikt, die het gebruik van "nudges" verbiedt om gebruikers naar opties met lage privacy-instellingen te lokken. Deze code zou afdwingbaar zijn op grond van de Data Protection Act 2018. Het werd van kracht op 2 september 2020.

Australië

bewerken

Het Federale Hof van Australië legde Trivago van Expedia Group een boete van AU $ 44,7 miljoen op wegens het misleiden van consumenten om hogere prijzen voor hotels te betalen.

Verenigde Staten

bewerken

Bait-and-switch is een vorm van fraude die in strijd is met de Amerikaanse wet.

Op 9 april 2019 introduceerden de Amerikaanse senatoren Deb Fischer en Mark Warner de Deceptive Experiences To Online Users Reduction (DETOUR) Act, die het voor bedrijven met meer dan 100 miljoen maandelijkse actieve gebruikers illegaal zou maken om duistere patronen te gebruiken bij het vragen om toestemming voor het gebruik van hun persoonlijke informatie.

In maart 2021 heeft Californië wijzigingen aangenomen in de California Consumer Privacy Act, die het gebruik van misleidende gebruikersinterfaces verbieden die het substantiële effect hebben dat ze de keuze van een consument om zich af te melden ondermijnen of belemmeren.

In oktober 2021 bracht de Federal Trade Commission een handhavingsbeleidsverklaring uit, waarin zij hardhandig optreden aankondigde tegen bedrijven die gebruik maken van duistere patronen die consumenten misleiden of in de val lokken voor abonnementsdiensten. Als gevolg van het stijgende aantal klachten reageert het overheidsagentschap door deze wetten inzake consumentenbescherming te handhaven.

In 2022 legde de New Yorkse procureur-generaal Letitia James Fareportal een boete van $ 2,6 miljoen op voor het gebruik van misleidende marketingtactieken om vliegtickets en hotelkamers te verkopen.

In maart 2023 legde de Amerikaanse Federal Trade Commission Fortnite-ontwikkelaar Epic Games een boete van $ 245 miljoen op wegens het gebruik van donkere patronen om gebruikers te misleiden tot het doen van aankopen. De 245 miljoen dollar zal worden gebruikt om getroffen klanten terug te betalen en is het grootste restitutiebedrag dat de FTC ooit in een gamingzaak heeft uitgegeven.